Publicado em 04 de abril de 2016 | Atualizado em 19 de dezembro de 2016
Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte de nosso processo de lançamento mensal do Boletim de segurança do Android. As imagens de firmware do Nexus também foram lançadas no site do Google Developer . Os níveis de patch de segurança de 02 de abril de 2016 ou posterior abordam esses problemas (consulte a documentação do Nexus para obter instruções sobre como verificar o nível de patch de segurança).
Os parceiros foram notificados sobre os problemas descritos no boletim em 16 de março de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP).
O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço estejam desabilitadas para fins de desenvolvimento ou se forem ignoradas com êxito.
O Android Security Advisory 2016-03-18 discutiu anteriormente o uso do CVE-2015-1805 por um aplicativo de root. CVE-2015-1805 é resolvido nesta atualização. Não houve relatos de exploração ativa de clientes ou abuso de outros problemas relatados recentemente. Consulte a seção Mitigações para obter mais detalhes sobre as proteções da plataforma de segurança Android e as proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android.
Mitigações
Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.
- A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android está monitorando ativamente o abuso com o Verify Apps e o SafetyNet, que avisará o usuário sobre aplicativos potencialmente nocivos detectados prestes a serem instalados. As ferramentas de root do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps é ativado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará removê-lo.
- Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como servidor de mídia.
Reconhecimentos
A equipe de segurança do Android gostaria de agradecer a esses pesquisadores por suas contribuições:
- Abhishek Arya, Oliver Chang e Martin Barbella da equipe de segurança do Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis ( @anestisb ) do CENSUS SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Brad Ebinger e Santos Cordon da equipe do Google Telecom: CVE-2016-0847
- Dominik Schürmann do Instituto de Sistemas Operacionais e Redes de Computadores , TU Braunschweig: CVE-2016-2425
- Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) do IceSword Lab, Qihoo 360: CVE-2016-0844
- George Piskas da École polytechnique fédérale de Lausanne : CVE-2016-2426
- Guang Gong (龚广) ( @oldfresher ) da Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
- James Forshaw do Google Project Zero: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao( @jianqiangzhao ), pjf e Gengjia Chen ( @chengjia4574 ) do IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao ( @jianqiangzhao ) e pjf do IceSword Lab, Qihoo 360: CVE-2016-2409
- Nancy Wang da Vertu Corporation LTD: CVE-2016-0837
- Nasim Zamir : CVE-2016-2409
- Nico Golde ( @iamnion ) da Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849
- Peter Pi ( @heisecode ) da Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak: CVE-2016-2415
- Romain Trouvé de MWR Labs : CVE-2016-0850
- Stuart Henderson: CVE-2016-2422
- Vishwath Mohan de segurança do Android: CVE-2016-2424
- Weichao Sun ( @sunblate ) da Alibaba Inc.: CVE-2016-2414
- Wish Wu ( @wish_wu ) da Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee e Xiaofeng Wang da Indiana University Bloomington, Tongxin Li e Xinhui Han da Peking University: CVE-2016-0848
A equipe de segurança do Android também agradece a Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang da equipe C0RE e Zimperium por sua contribuição ao CVE-2015-1805.
Detalhes da vulnerabilidade de segurança
As seções abaixo contêm detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2016-04-02. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vincularemos o commit do AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, as referências AOSP adicionais são vinculadas a números após o ID do bug.
Vulnerabilidade de execução remota de código no DHCPCD
Uma vulnerabilidade no serviço Dynamic Host Configuration Protocol pode permitir que um invasor cause corrupção de memória, o que pode levar à execução remota de código. Esse problema é classificado como gravidade crítica devido à possibilidade de execução remota de código no contexto do cliente DHCP. O serviço DHCP tem acesso a privilégios que aplicativos de terceiros normalmente não podem acessar.
| CVE | Bugs com links AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | Crítico | 4.4.4 | 30 de julho de 2014 |
| CVE-2014-6060 | ANDROID-16677003 | Crítico | 4.4.4 | 30 de julho de 2014 |
| CVE-2016-1503 | ANDROID-26461634 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 de janeiro de 2016 |
Vulnerabilidade de execução remota de código no codec de mídia
Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades em um codec de mídia usado pelo mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.
A funcionalidade afetada é fornecida como parte central do sistema operacional, e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia do navegador.
Esse problema é classificado como gravidade crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.
| CVE | Incomodar | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | Crítico | 6.0, 6.0.1 | 16 de dezembro de 2015 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de execução remota de código no Mediaserver
Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, as vulnerabilidades no servidor de mídia podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do servidor de mídia.
A funcionalidade afetada é fornecida como parte central do sistema operacional, e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia do navegador.
Esse problema é classificado como gravidade crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.
| CVE | Bugs com links AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [ 2 ] | Crítico | 6.0, 6.0.1 | 6 de dezembro de 2015 |
| CVE-2016-0836 | ANDROID-25812590 | Crítico | 6.0, 6.0.1 | 19 de novembro de 2015 |
| CVE-2016-0837 | ANDROID-27208621 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de fevereiro de 2016 |
| CVE-2016-0838 | ANDROID-26366256 [ 2 ] | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
| CVE-2016-0839 | ANDROID-25753245 | Crítico | 6.0, 6.0.1 | Interno do Google |
| CVE-2016-0840 | ANDROID-26399350 | Crítico | 6.0, 6.0.1 | Interno do Google |
| CVE-2016-0841 | ANDROID-26040840 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de execução remota de código em libstagefright
Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, vulnerabilidades no libstagefright podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do servidor de mídia.
A funcionalidade afetada é fornecida como parte central do sistema operacional, e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia do navegador.
Este problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | Crítico | 6.0, 6.0.1 | 23 de novembro de 2015 |
Vulnerabilidade de elevação de privilégios no kernel
Uma vulnerabilidade de elevação de privilégio no kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo, e o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional. Esse problema foi descrito no Aviso de segurança do Android 2016-03-18 .
| CVE | Incomodar | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 de fevereiro de 2016 |
* O patch no AOSP está disponível para versões específicas do kernel: 3.14 , 3.10 e 3.4 .
Vulnerabilidade de elevação de privilégios no módulo de desempenho da Qualcomm
Uma vulnerabilidade de elevação de privilégio no componente gerenciador de eventos de desempenho para processadores ARM da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo, e o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.
| CVE | Incomodar | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 de novembro de 2015 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de elevação de privilégio no componente RF da Qualcomm
Há uma vulnerabilidade no driver Qualcomm RF que pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo, e o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307 * | Crítico | 6.0, 6.0.1 | 25 de dezembro de 2015 |
* Um patch adicional para este problema está localizado no Linux upstream .
Vulnerabilidade de elevação de privilégios no kernel
Uma vulnerabilidade de elevação de privilégio no kernel comum pode permitir que um aplicativo mal-intencionado local execute código arbitrário no kernel. Esse problema é classificado como de gravidade Crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo possivelmente precisaria ser reparado com a atualização do sistema operacional.
| CVE | Bug com links AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | Crítico | 6.0, 6.0.1 | 25 de dezembro de 2015 |
Vulnerabilidade de elevação de privilégios na interface nativa do IMemory
Uma vulnerabilidade de elevação de privilégio na IMemory Native Interface pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 de janeiro de 2016 |
Elevação da Vulnerabilidade de Privilégios no Componente de Telecomunicações
Uma vulnerabilidade de elevação de privilégio no componente Telecom pode permitir que um invasor faça com que as chamadas pareçam vir de qualquer número arbitrário. Esse problema é classificado como de alta gravidade porque pode ser usado para obter acesso local a recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com links AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [ 2 ] | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de elevação de privilégios no gerenciador de downloads
Uma vulnerabilidade de elevação de privilégio no Download Manager pode permitir que um invasor obtenha acesso a arquivos não autorizados em armazenamento privado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter acesso local a recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 de dezembro de 2015 |
Elevação da Vulnerabilidade de Privilégios no Procedimento de Recuperação
Uma vulnerabilidade de elevação de privilégio no Procedimento de Recuperação pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de fevereiro de 2016 |
Elevação da vulnerabilidade de privilégio no Bluetooth
Uma vulnerabilidade de elevação de privilégio no Bluetooth pode permitir que um dispositivo não confiável seja emparelhado com o telefone durante o processo de emparelhamento inicial. Isso pode levar ao acesso não autorizado dos recursos do dispositivo, como a conexão com a Internet. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados que não são acessíveis a dispositivos não confiáveis.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 de janeiro de 2016 |
Elevação da vulnerabilidade de privilégio no driver háptico da Texas Instruments
Há uma vulnerabilidade de elevação de privilégio em um driver de kernel háptico da Texas Instruments que pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço que pode chamar o driver, ele é classificado como de alta gravidade.
| CVE | Incomodar | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | Alto | 6.0, 6.0.1 | 25 de dezembro de 2015 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de elevação de privilégios no driver do kernel de vídeo da Qualcomm
Há uma vulnerabilidade de elevação de privilégio em um driver de kernel de vídeo da Qualcomm que pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Normalmente, uma vulnerabilidade de execução de código do kernel seria classificada como Crítica, mas, como exige primeiro o comprometimento de um serviço que pode chamar o driver, ela é classificada como de alta gravidade.
| CVE | Incomodar | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Alto | 6.0, 6.0.1 | 21 de dezembro de 2015 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de elevação de privilégios no componente Qualcomm Power Management
Há uma vulnerabilidade de elevação de privilégio em um driver de kernel do Qualcomm Power Management que pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como exige primeiro o comprometimento do dispositivo e a elevação para root, ele é classificado como de alta gravidade.
| CVE | Incomodar | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Alto | 6.0, 6.0.1 | 28 de janeiro de 2016 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .
Vulnerabilidade de elevação de privilégio em System_server
Uma vulnerabilidade de elevação de privilégio no System_server pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 de janeiro de 2016 |
Vulnerabilidade de elevação de privilégios no Mediaserver
Uma vulnerabilidade de elevação de privilégio no mediaserver pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de janeiro de 2016 |
Vulnerabilidade de negação de serviço no Minikin
Uma vulnerabilidade de negação de serviço na biblioteca Minikin pode permitir que um invasor local bloqueie temporariamente o acesso a um dispositivo afetado. Um invasor pode fazer com que uma fonte não confiável seja carregada e causar um estouro no componente Minikin, o que leva a uma falha. Isso é classificado como gravidade alta porque a negação de serviço levaria a um loop de reinicialização contínuo.
| CVE | Bug com links AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [ 2 ] | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de novembro de 2015 |
Vulnerabilidade de divulgação de informações no Exchange ActiveSync
Uma vulnerabilidade de divulgação de informações no Exchange ActiveSync pode permitir que um aplicativo mal-intencionado local obtenha acesso às informações privadas de um usuário. Esse problema é classificado como de alta gravidade porque permite acesso remoto a dados protegidos.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de janeiro de 2016 |
Vulnerabilidade de divulgação de informações no Mediaserver
Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir um desvio das medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Esses problemas são classificados como de alta gravidade porque também podem ser usados para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.
| CVE | Bugs com links AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [ 2 ] | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de fevereiro de 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1º de fevereiro de 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Alto | 6.0, 6.0.1 | 24 de dezembro de 2015 |
| CVE-2016-2419 | ANDROID-26323455 | Alto | 6.0, 6.0.1 | 24 de dezembro de 2015 |
Vulnerabilidade de elevação de privilégio no componente depurado
Uma vulnerabilidade de elevação de privilégio no componente Depurado pode permitir que um aplicativo mal-intencionado local execute código arbitrário que pode levar a um comprometimento permanente do dispositivo. Como resultado, o dispositivo possivelmente precisaria ser reparado por re-flash do sistema operacional. Normalmente, um bug de execução de código como esse seria classificado como Crítico, mas, como permite uma elevação de privilégio do sistema para o root apenas na versão 4.4.4 do Android, ele é classificado como Moderado. Nas versões do Android 5.0 e superiores, as regras do SELinux impedem que aplicativos de terceiros alcancem o código afetado.
| CVE | Bug com links AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [ 2 ] | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de janeiro de 2016 |
Vulnerabilidade de Elevação de Privilégios no Assistente de Configuração
Uma vulnerabilidade no Assistente de configuração pode permitir que um invasor ignore a proteção de redefinição de fábrica e obtenha acesso ao dispositivo. Isso é classificado como gravidade moderada porque potencialmente permite que alguém com acesso físico a um dispositivo ignore a proteção de redefinição de fábrica, o que permitiria que um invasor redefinisse um dispositivo com êxito, apagando todos os dados.
| CVE | Incomodar | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | Moderado | 5.1.1, 6.0, 6.0.1 | Interno do Google |
* O patch para este problema não está no AOSP. A atualização está contida na versão binária mais recente para dispositivos Nexus disponível no site do Google Developer .
Elevação de vulnerabilidade de privilégio em Wi-Fi
Uma vulnerabilidade de elevação de privilégio em Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como gravidade moderada porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 de dezembro de 2015 |
Vulnerabilidade de Elevação de Privilégios em Telefonia
Uma vulnerabilidade na telefonia pode permitir que um invasor ignore a proteção de redefinição de fábrica e obtenha acesso ao dispositivo. Isso é classificado como gravidade moderada porque potencialmente permite que alguém com acesso físico a um dispositivo ignore a proteção de redefinição de fábrica, o que permitiria que um invasor redefinisse um dispositivo com êxito, apagando todos os dados.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de negação de serviço no SyncStorageEngine
Uma vulnerabilidade de negação de serviço no SyncStorageEngine pode permitir que um aplicativo mal-intencionado local cause um loop de reinicialização. Esse problema é classificado como gravidade moderada porque pode ser usado para causar uma negação de serviço temporária local que possivelmente precisaria ser corrigida por meio de uma redefinição de fábrica.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de divulgação de informações no correio AOSP
Uma vulnerabilidade de divulgação de informações no AOSP Mail pode permitir que um aplicativo mal-intencionado local obtenha acesso às informações privadas de um usuário. Esse problema é classificado como gravidade moderada porque pode ser usado para obter permissões "perigosas" de forma inadequada.
| CVE | Bugs com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Moderado | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 de janeiro de 2016 |
| CVE-2016-2425 | ANDROID-7154234* | Moderado | 5.0.2 | 29 de janeiro de 2016 |
* O patch para este problema não está no AOSP. A atualização está contida na versão binária mais recente para dispositivos Nexus disponível no site do Google Developer .
Vulnerabilidade de divulgação de informações na estrutura
Uma vulnerabilidade de divulgação de informações no componente Framework pode permitir que um aplicativo acesse informações confidenciais. Esse problema é classificado como gravidade moderada porque pode ser usado para acessar dados de forma inadequada sem permissão.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data do relatório |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 de dezembro de 2015 |
Perguntas e respostas comuns
Esta seção revisa as respostas para perguntas comuns que podem ocorrer após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Os níveis de patch de segurança de 2 de abril de 2016 ou posterior abordam esses problemas (consulte a documentação do Nexus para obter instruções sobre como verificar o nível de patch de segurança). Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para: [ro.build.version.security_patch]:[2016-04-02]
2. Por que este patch de segurança é de nível 2 de abril de 2016?
O Nível de Patch de Segurança para a atualização de segurança mensal é normalmente definido como o primeiro do mês. Para abril, um nível de patch de segurança de 1º de abril de 2016 indica que todos os problemas descritos neste boletim, com exceção do CVE-2015-1805, conforme descrito no Android Security Advisory 2016-03-18 , foram resolvidos. Um nível de patch de segurança de 2 de abril de 2016 indica que todos os problemas descritos neste boletim, incluindo o CVE-2015-1805, conforme descrito no Aviso de segurança do Android 2016-03-18 , foram resolvidos.
Revisões
- 04 de abril de 2016: Boletim publicado.
- 06 de abril de 2016: Boletim revisado para incluir links AOSP.
- 07 de abril de 2016: Boletim revisado para incluir um link AOSP adicional.
- 11 de julho de 2016: Descrição atualizada do CVE-2016-2427.
- 01 de agosto de 2016: Descrição atualizada do CVE-2016-2427
- 19 de dezembro de 2016: atualizado para remover o CVE-2016-2427, que foi revertido.